Quotas et limites
Ce document recense les quotas et limites système qui s'appliquent à Cloud NAT.
- Les quotas ont des valeurs par défaut, mais vous pouvez généralement demander des ajustements.
- Les limites système sont des valeurs fixes qui ne peuvent pas être modifiées.
Le calcul d'un quota ou d'une limite s'effectue par ressource. Les quotas et les limites peuvent être définis par projet, par réseau, par région ou par une autre ressource. Les adresses IP NAT ne peuvent pas être partagées entre plusieurs passerelles NAT.
Cloud de Confiance by S3NS utilise des quotas pour garantir l'équité et réduire les pics d'utilisation et de disponibilité des ressources. Un quota limite la quantité d'une ressourceCloud de Confiance que votre projet Cloud de Confiance peut utiliser. Les quotas s'appliquent à différents types de ressources, y compris les composants matériels, logiciels et réseau. Par exemple, ils peuvent limiter le nombre d'appels d'API à un service, le nombre d'équilibreurs de charge utilisés simultanément par votre projet ou le nombre de projets que vous pouvez créer. Ils protègent la communauté des utilisateurs deCloud de Confiance en empêchant la surcharge des services. Les quotas vous aident également à gérer vos propres ressources Cloud de Confiance .
Le système Cloud Quotas permet d'effectuer les opérations suivantes :
- Surveiller votre consommation de produits et services Cloud de Confiance
- Limiter votre consommation de ces ressources
- Demander des modifications de la valeur du quota et automatiser les ajustements de quota
Dans la plupart des cas, lorsque vous tentez d'utiliser une ressource plus que son quota ne le permet, le système bloque l'accès à la ressource et la tâche que vous essayez d'effectuer échoue.
Les quotas s'appliquent généralement au niveau du projet Cloud de Confiance . Votre utilisation d'une ressource dans un projet n'affecte pas votre quota disponible dans un autre projet. Dans un projet Cloud de Confiance , les quotas sont partagés entre toutes les applications et adresses IP.
Pour en savoir plus, consultez la présentation des quotas Cloud.Des limites système s'appliquent également aux ressources Cloud NAT. Elles ne peuvent pas être modifiées.
Quotas
Pour en savoir plus sur les quotas applicables à Cloud NAT, consultez la page Quotas de Cloud Router.
Limites
| Élément | Limite | Remarques |
|---|---|---|
| Passerelles NAT | 50 par instance Cloud Router | Chaque réseau accepte jusqu'à cinq instances Cloud Router par région. Vous pouvez donc avoir jusqu'à 250 passerelles Cloud NAT par région et par réseau de cloud privé virtuel (VPC). Pour en savoir plus sur les quotas de Cloud Router, consultez la documentation Cloud Router. |
| Adresses IP NAT par passerelle | 300 adresses attribuées manuellement 2 500 adresses attribuées automatiquement |
Il s'agit du nombre maximal d'adresses IP externes dont vous pouvez disposer sur une passerelle NAT. Toutefois, cette valeur dépend des quotas d'adresses IP statiques et d'adresses IP en cours d'utilisation du VPC par projet. |
| Plages de sous-réseaux | 50 par passerelle | Il s'agit du nombre maximal de sous-réseaux que vous pouvez associer à une passerelle lorsque vous configurez une liste personnalisée de plages de sous-réseaux. Le nombre de plages de sous-réseaux peut être supérieur à la limite, car chaque sous-réseau peut avoir une plage IPv4 principale et une ou plusieurs plages secondaires. Si vous avez configuré le NAT pour les plages principales de tous les sous-réseaux, ou pour les plages principales et secondaires de tous les sous-réseaux, cette limite ne s'applique pas. |
| Règles NAT | 150 par passerelle 2 500 par instance Cloud Router |
Si cette limite est dépassée, l'API renvoie une erreur. |
| Adresses IP actives par règle NAT | 300 | |
| Caractères dans les expressions CEL par règle | 2 048 | |
| Caractères dans les expressions CEL par instance Cloud Router | 500 000 |
Limites
Certains serveurs tels que les anciens serveurs DNS nécessitent d'activer la randomisation des ports UDP sur 64 000 ports pour renforcer la sécurité. Étant donné que Cloud NAT sélectionne un port de manière aléatoire parmi 64 ports (ou tout autre nombre de ports configuré par l'utilisateur), il est préférable d'attribuer une adresse IP externe à ces serveurs au lieu d'utiliser Cloud NAT. Comme ce service n'autorise pas les connexions initiées depuis l'extérieur, il faut de toute façon utiliser une adresse IP externe pour la plupart de ces serveurs.
Cloud NAT n'est pas disponible pour les anciens réseaux.
Cloud NAT ne fournit pas de fonctionnalités de passerelle au niveau de l'application (ALG, Application-Level Gateway). En effet, Cloud NAT ne met pas à jour les informations sur l'adresse IP et le port dans les données de paquet pour les protocoles de couche application tels que FTP et SIP.
Les passerelles Cloud NAT implémentent des tableaux de suivi des connexions NAT pour chaque interface réseau de VM sur laquelle elles fournissent des services NAT. Les entrées de chaque tableau de suivi des connexions sont des hachages à cinq tuples pour les protocoles compatibles de la passerelle.
Les entrées de chaque tableau de suivi des connexions persistent à peu près aussi longtemps que le délai avant expiration du NAT correspondant. Pour en savoir plus sur les délais d'inactivité NAT, consultez la section Délais d'inactivité NAT.
Le nombre maximal d'entrées dans le tableau de suivi des connexions pour toutes les connexions NAT associées à une VM est de 65 535. Cette valeur maximale englobe l'ensemble des connexions pour tous les protocoles compatibles avec la passerelle, sur toutes les interfaces réseau de la VM.
Les délais d'inactivité de la connexion risquent de ne pas s'appliquer s'ils sont trop courts.
Les mappages NAT sont vérifiés toutes les 30 secondes afin de détecter les modifications apportées au délai d'expiration et à la configuration. Même si le délai d'expiration d'une connexion est défini sur 5 secondes, la connexion risque de ne pas être disponible pendant 30 secondes maximum dans le pire des cas et 15 secondes en moyenne.